Системный монитор (Sysmon) — это системная служба Windows и драйвер устройства, который после установки в системе остается резидентом во время перезагрузки системы для мониторинга и регистрации действий системы в журнал событий Windows. Он предоставляет подробные сведения о создании процессов, сетевых подключениях и изменениях времен созданий файлов. Собирая события, создаваемые с помощью коллекции событий Windows или агентов SIEM , а затем анализируя их, можно определить вредоносные или аномальные действия и понять, как злоумышленники и вредоносные программы работают в вашей сети.
Обратите внимание, что Sysmon не предоставляет анализ событий, которые он создает, и не пытается защитить или скрыть себя от злоумышленников.
https://learn.microsoft.com/ru-ru/sysinternals/downloads/sysmon